¿Cuál es el costo del cifrado SSL?

3

Por lo tanto, he estado revisando varios sitios web que no manejan información confidencial, pero sí aceptan tokens de autenticación de usuario (es decir, puede crear cuentas con ellos y asociar un correo electrónico / nombre de usuario con una contraseña).

Específicamente, he estado verificando si implementan algún tipo de protección con respecto a estos tokens, y he encontrado un número inquietante de sitios que simplemente envían estos tokens como datos POST de texto simple.

Muchos sitios se cifran, a pesar de que no manejan información confidencial. Otros sitios de contenido equivalente no molestan.

He mencionado esto a los administradores de los sitios que encontré. Una política cambiada. Algunos no respondieron. Una vez usado el argumento de que muchos otros sitios no lo hacen, no debería preocuparse, y podría ser prohibitivamente costoso.

Obviamente, el argumento del 'efecto espectador' es horrible. Pero como no tengo los números, y el uso de SSL por defecto, ¿la implementación de esta característica básica de seguridad es realmente tan costosa?

O, más específicamente, su argumento fue que su sitio no era lo suficientemente grande como para que valiera la pena la inversión financiera. ¿Es este un argumento que tiene sentido?

- Y, no es estrictamente importante, pero tengo curiosidad -

¿Se ha investigado cuántas personas tienen cuidado con el uso de la contraseña? ¿Alguna vez alguien ha puesto un rastreador cerca de un wifi público y ha comprobado si esto podría ser un problema en la práctica para John Q. Public?

EDITAR: También, en relación con esa última pregunta, no estrictamente necesaria ... Para hacer un estudio concluyente sobre este tema y sacar conclusiones realistas, parece que alguien tendría que infringir una serie de leyes, incluso si eran muy cuidadosos en la forma en que manejaban los datos, y no los utilizaban para nada más que el resto. estudiar. ¿Existen actualmente vías para que este tipo de investigación pueda realizarse de manera legal, controlada y responsable?

    
pregunta root 05.03.2013 - 17:02
fuente

1 respuesta

6

SSL no es caro por sí mismo. Al implementar SSL en todo el sitio para Gmail, Google encontró que aumentaba la carga de CPU en aproximadamente un 1% y la carga de red en aproximadamente un 2%. Por supuesto, no todos los sitios son Gmail. Los mayores costos de SSL son:

  • Tienes que administrar un certificado de servidor. La tarifa de compra es pequeña, mucho más pequeña que el tiempo de administración de todos modos, y no llegará muy lejos.
  • Los proxies transparentes (como los empleados por algunos ISP) no serán tan eficientes (pero ese es su problema, no el tuyo).
  • La conexión inicial a su sitio es un poco más larga (pero estamos hablando de un retraso de un segundo por segundo).

Existe un mito generalizado acerca de cómo la encriptación es necesariamente costosa, y eso es solo eso: un mito , es decir, una información muy deformada de tiempos mucho más antiguos. Un servidor básico admitirá 100 MBit / s SSL con menos del 10% de un solo núcleo de CPU. En 1996, cuando un servidor podía ser un 80386 de 33 MHz, SSL podía verse caro, pero esto era hace bastante tiempo.

    
respondido por el Tom Leek 05.03.2013 - 17:19
fuente

Lea otras preguntas en las etiquetas